Asumir funciones FSMO en Windows Server ante un problema con un controlador de dominio “principal”

21 02 2008

Una instalación tipo y altamente recomendable en muchas instalaciones de Active Directory es tener más de un controlador de dominio. Existen otras muchas recomendaciones que no se suelen seguir y nos acordamos cuando algo falla….8101.jpg

Este post os quiero presentar que hacer en caso de perdida (por el motivo que sea) del controlador de dominio que alberga todos los roles FSMO.

Espero que os pueda ser de ayuda.

Como os comente en el inicio, es muy recomendable tener siempre más de un controlador de dominio en el directorio activo, existen muchas otras recomendaciones por tema de tolerancia a fallos como es el instalar dos catalogos globales, dos servidores dns, repartir roles FSMO… pero no nos nos vamos a centrar en esto ahora, lo dejaremos para otro post…

Aquí me quiero mostrar que hacer si por el motivo que sea perdemos el controlador que alberga los 5 roles fsmo y queremos dejar nuestro dominio funcionando correctamente.

Importante

Este procedimiento se ha de realizar siempre que el servidor no se vuelva a meter en el dominio, antes de seguir este procedimiento recomienda intentar otras formas de restauración del Controlador de dominio: https://docsharing.wordpress.com/2007/12/03/backup-y-tipos-de-restauracion-de-active-directory/


En este procedimiento doy por hecho que el controlador de dominio al que asignar los roles FSMO es servidor dns y catálogo global.

El procedimiento se basa en utilizar la herramienta NTDSUTIL (viene en las Resource Kit Tools de 2003 ) y el comando SEIZE.

1º Inicia una sesión en un equipo o controlador de dominio basado en Windows 2000 Server o Windows Server 2003 que esté ubicado en el bosque donde se están asumiendo las funciones FSMO. Se recomienda que inicie una sesión en el controlador de dominio al que esté asignando las funciones FSMO. El usuario que ha iniciado la sesión debería ser miembro del grupo de administradores de organización para poder transferir las funciones de esquema o de maestro de nombres de dominio, o miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de infraestructura.

2º Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.

3º Escriba roles y presione ENTRAR.

4º Escriba connections y, a continuación, presione ENTRAR.

5º Escriba connect to server nombre del servidor y, a continuación, presione ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que desea asignar la función FSMO.

6º Escriba q en el símbolo del sistema server connections y, a continuación, presione ENTRAR

7º Escriba seize función, donde función es la función que desea asumir. Si desea consultar la lista de funciones que puede asumir, escriba ? en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artículo. Por ejemplo, para asumir la función de maestro RID, escriba seize rid master. La única excepción es para la función de emulador de PDC, cuya sintaxis es seize pdc, no seize pdc emulator.

8º Escriba q en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.

Tras a ver asumindo todas las funciones FSMO, debemos limpiar los rastros que ha dejado el otro controlador de dominio como son los registros DNS y WINS así como los Metadatos.

Para eliminar los Metadatos utilizaremos la utilidad grafica ADSIedit (Viene en las support tools del cd de windows 2003):

defaultgalobj.jpg

Concretamente estos resgistros:

– OU=Domain Controllers,DC=domain,DC=local

– CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local

– CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=local

Una vez asumido todos los roles en el controlador de dominio y limpiado los metadatos del antiguo dc, el siguiente paso seria añadir nuevamente otro controlador de dominio a la red y revisar que todo funciona correctamente.

Aquí os dejo una serie de enlaces a KB de Microsoft que recomiendo leer antes de realizar el prodecimiento de asumir los roles:

555846 How to remove completely orphaned Domain Controller

255544 Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

216496 How to remove data in Active Directory after an unsuccessful domain controller demotion


Acciones

Information

One response

23 02 2008
Javier Espadas

Esperemos que nunca me suceda, pero bueno, muy buen post Carlitos Gracias.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: